Intervista di e–Sanit@ al Dott. Matteo Colombo     CEO di Labor Project srl e Presidente di ASSO DPO

Fonte: www.esanitanews.it

Il recente Congresso annuale della AssoDPO, l’Associazione Data Protection Officer, verteva su numerosi argomenti di primo piano della sicurezza dei dati: gli impatti del nuovo regolamento privacy Ue sulle imprese europee ed extra europee anche in ambito sanitario, il ruolo del DPO in Europa, l’accountability e trasferimento dati all’estero, il data breach. Vi è anche stata una tavola rotonda con le principali associazioni continentali per la privacy per confrontarsi con il punto di vista dei DPO degli altri paesi. Abbiamo chiesto a Matteo Colombo, presidente ASSO DPO, di raccontarci i principali nodi tematici emersi nella due giorni milanese.

Avevate numerosi argomenti caldi per la discussione. Come l’avete impostata?

«Verteva sul futuro prossimo, alla luce degli adempimenti richiesti dal nuovo regolamento Ue, e su temi come il data breach e l’accountability. Sono stato recentemente in America al Global Privacy Summit. Tenendo conto che gli Usa sono molto più avanti di noi sulla privacy, gli argomenti che interessano sono stati anche lì la crittografia dei dati, l’analisi dei data breach,  la formazione di tutti i soggetti che hanno a che fare con i dati e la governance per la gestione dei dati da parte del Data Protection Officer. AssoDPO nasce per dare strumenti ai professionisti della privacy che si devono ormai muovere su un mercato che non è più solo italiano ma europeo. Teniamo conto che il DPO è il soggetto che si interpone tra il titolare del trattamento e la struttura aziendale. I DPO italiani stanno organizzando il loro lavoro sulla scorta delle esperienze di altri soggetti europei, rimettendo in auge il registro del trattamento, rifacendosi quindi a modelli interni che consentono di tracciare il trattamento, di analizzare e difendere i dati del cittadino e del paziente, lavorando a contatto con il titolare del trattamento medesimo. I DPO hanno a che fare o con case madri estere che stanno cercando di coordinarli oppure lavorano in filiali fuori Italia, quindi stanno cercando di applicare delle policy interne, delle informative comuni, delle regole per  il data breach. Stanno mettendo in piedi un processo aziendale anche senza avere ancora il supporto di una norma ISO».

E per quanto riguarda i dati specificamente sanitari?

«Abbiamo fatto un’analisi legata alla digitalizzazione e ai vantaggi e ai rischi che essa ha per il cittadino-paziente. Le aziende sanitarie devono strutturarsi per difendere i dati e il processo dev’essere governato dal DPO. Al congresso è stato fatto un esempio significativo: a Bologna, l’archivio cartaceo delle cartelle sanitarie è di oltre 20 km. di estensione fisica. La sua  complessità comporta difficoltà nel reperire le informazioni ma lo rende anche più facilmente difendibile rispetto a un archivio digitale, perché la digitalizzazione in un unico database fa sì che sia più facile che avvengano violazioni dei dati. Il nuovo regolamento introduce il concetto della privacy by default e by design e quindi la necessità, per la gestione dei dossier sanitari, di lavorare molto sulla privacy by design, per far sì che i dati vengano lavorati da alcuni soggetti e non da altri, ad esempio dai medici e non dagli amministrativi. Un altro tema portato in primo piano dal nuovo regolamento è la crittografia dei dati per far sì che, in caso di data breach, l’accesso non autorizzato avvenga su dati non aperti. Le aziende sanitarie devono programmare la criptazione dei dati con un investimento che però è modesto, nell’ordine di poche migliaia di euro».

Vi sono stati nel recente passato casi di accessi non autorizzati ai dati sanitari in aziende pubbliche.

«Il colonnello Marco Menegazzo – comandante del Nucleo Speciale Privacy della Guardia di Finanza – ha detto che in questo primo semestre vengono verificati i dossier delle aziende sanitarie pubbliche e quelle private che trattano dati sanitari. Già adesso le aziende che hanno subito data breach hanno l’obbligo di notificarlo e infatti ho casi di soggetti, che seguo, i quali hanno avuto data breach e che hanno comunicato gli accessi abusivi al sistema all’autorità garante. Il nuovo regolamento, imponendo la crittografia dei dati e l’utilizzo di software che osserva la privacy by design non  impone la comunicazione del data breach, perché i dati non sono leggibili. L’investimento sarà bilanciato dal fatto di non dover rendere noto il data breach e viene così meno il problema mediatico di dover avvisare tutti gli interessati, con le conseguenti ricadute d’immagine. Saremo tutti sottoposti a questi investimenti per la sicurezza dei dati. La norma impone misure idonee e ciò comporta un cambio di mentalità: l’atteggiamento deve diventare proattivo».

Avete affrontato anche questioni inerenti la gestione di dati sanitari particolari o in strutture come le Residenze sanitarie assistenziali?

«Un discorso importante è stato quello riguardante i dati sanitari nelle RSA. Hanno dossier sanitari anche se non se ne rendono conto e hanno spesso database di dati leggibili da tutti gli operatori. Quindi dovranno nominare anch’esse un DPO e provvedere alla sicurezza del dossier. È una svolta epocale che richiede investimenti mirati per la difesa del dato. L’autorità garante ha detto che in fase di accertamento il primo quesito che viene posto è sulla governance: chi è il titolare, chi sono i responsabili e chi sono gli incaricati. Occorre un organigramma certo, con ruoli e responsabilità di chi tratta e garantisce la sicurezza. Bisogna capire che la gestione della privacy diventa come quella della sicurezza sul lavoro. Infine, un altro argomento molto interessante su cui è stata posta l’attenzione è il dato genetico e di come in futuro andrà a influire sulle scelte dei cittadini».